セキュリティー&コンプライアンスをPowerShellで設定を行う際、始めに資格情報を入力し接続を行っていたかと思います。今回のアップデートでは、接続の部分に証明書を使ったものが利用できるようになり、ベーシック認証からの脱却を行えるようになります!
- 証明書を使ったPowerShell認証とは
- 証明書ベースの認証がセキュリティー&コンプライアンスで利用方法
- 宣伝:Microsoft 365 のアップデート情報をチェックし、重要情報をお伝えするJBSサービスのご紹介
証明書を使ったPowerShell認証とは
証明書を使ったPowerShellの認証を利用することによって、ベーシック認証で行っていたスクリプトの管理とアクセス権をユーザーベースの認証からアプリベースの認証に変更し権限を細かく制御することが可能になります。アプリベースの場合、権限はアプリ単位で制御できるため属人化を防ぎやすくなります。
証明書ベースの認証がセキュリティー&コンプライアンスで利用方法
Exchange Online PowerShell V2で利用できていた証明書ベースの認証をセキュリティ&コンプライアンス PowerShellで設定が可能になり、無人でのAppのみのアクセスができるようになります。
今までは、一連の設定を行うスクリプトを作成する場合、パスワードを埋め込む形か資格情報データをPC内の安全な場所に保存する必要がありました。ベーシック認証を使った方法ではパスワードの漏洩した場合に対処できないということで様々なサービスで廃止されています。
アプリ作成手順概要
この機能を利用するには、以下の手順を踏む必要があります。
- Azure ADにアプリケーションを登録する
- アプリケーションにAPI権限を割り当てる
- 自己署名入り証明書を作成する
- Azure ADアプリケーションに証明書を添付する
- アプリケーションにAzure ADのロールを割り当てる
詳細については以下をご覧ください: アプリ専用の認証 | Microsoft Docs
接続方法
設定が終わったら接続しに行きます。Windows PowerShell にあるPowerShellGetが古いとプレリリース版のモジュールをインストールできないためPowerShell Coreを使っていきます。
2022/03/22時点で利用できるバージョンは2.0.6 Preveiwと書いてあります。
詳細については以下をご覧ください: アプリ専用の認証 | Microsoft Docs
Install-Module ExchangeOnlineManagement -Scope CurrentUser -Force -RequiredVersion 2.0.6-Preview5 -AllowPrerelease
モジュールのインストール後インポートしインストールできているか確認していきます。
Import-Module ExchangeOnlineManagement -RequiredVersion 2.0.6
接続していきます。
Connect-IPPSSession -CertificateFilePath C:\Users\skasai\source\pwsh\mycert.pfx -CertificatePassword (ConvertTo-SecureString -String "P@ssw0Rd1234" -AsPlainText -Force) -AppID "896ca834-b8b9-4231-b16b-447fa7bc9987" -Organization "M365x05420450.onmicrosoft.com"
接続の際にポップアップも出ず、認証を通すことができるので無人化ができますね!
まとめ
今回のアップデートにより管理者はセキュリティー&コンプライアンスの設定を行うときに証明書ベースの認証を利用することができるようになります。
この機能を使えば従来のベーシック認証を使った方法のように認証を行う際にポップアップがでることを防ぎ無人化するスクリプトを作成できるようになります。
従来のベーシック認証はパスワード情報が漏洩した場合、悪意のあるユーザーからアクセスされてしまうという問題を抱えていましたが、証明書による認証によって証明書が盗まれなければパスワードを知っていても接続できないという状況を作り出すことができます。
また、ユーザーベースの認証を複数人でユーザーを使いまわすなど誤った使い方をしている可能性があります。
この機会に証明書認証を使った認証にトライしてみてはいかがでしょうか。
宣伝:Microsoft 365 のアップデート情報をチェックし、重要情報をお伝えするJBSサービスのご紹介
JBSサービス"アップデートキュレーション for Microsoft 365"では、日々Microsoft 365 Message Centerの内容をチェックし、機械翻訳ではなく人間が読みやすい形での要約情報をお届けしています。ただ情報をお伝えするだけではなく、日本のシステム管理者が意識するであろうセキュリティ・ガバナンス面からのアドバイス、重要情報はPowerPoint形式でより分かりやすくお伝えするなどの工夫を行っております。
ただいま、30日間無料キャンペーン(※)を行っておりますので、是非お気軽にお試しください。
※ 2022年3月現在。詳しくはお問い合わせください